Configurare la comunicazione SSL bidirezionale sull'host Windows
È necessario configurare la comunicazione SSL bidirezionale per proteggere la comunicazione reciproca tra il server SnapCenter sull'host Windows e i plug-in.
-
Il file CSR del certificato CA dovrebbe essere stato generato con la lunghezza minima supportata della chiave di 3072.
-
Il certificato CA deve supportare l'autenticazione del server e l'autenticazione del client.
-
È necessario disporre di un certificato CA con chiave privata e dettagli di identificazione personale.
-
La configurazione SSL unidirezionale dovrebbe essere stata attivata.
Per ulteriori informazioni, vedere "Sezione Configure CA certificate (Configura certificato CA)."
-
È necessario attivare la comunicazione SSL bidirezionale su tutti gli host plug-in e sul server SnapCenter.
L'ambiente con alcuni host o server non abilitati per la comunicazione SSL bidirezionale non è supportato.
-
Per eseguire il binding della porta, attenersi alla seguente procedura sull'host del server SnapCenter per la porta 8146 del server Web IIS SnapCenter (impostazione predefinita) e ancora per la porta 8145 SMCore (impostazione predefinita) utilizzando i comandi PowerShell.
-
Rimuovere il binding della porta del certificato autofirmato SnapCenter esistente utilizzando il seguente comando PowerShell.
> netsh http delete sslcert ipport=0.0.0.0:<SMCore port/IIS port>
Ad esempio,
> netsh http delete sslcert ipport=0.0.0.0:8145
> netsh http delete sslcert ipport=0.0.0.0:8146
-
Associare il certificato CA appena procurato al server SnapCenter e alla porta SMCore.
> $cert = “<CA_certificate thumbprint>”
> $guid = [guid]::NewGuid().ToString("B")
> netsh http add sslcert ipport=0.0.0.0: <SMCore Port/IIS port> certhash=$cert appid="$guid"
clientcertnegotiation=enable verifyclientcertrevocation=disable
> netsh http show sslcert ipport=0.0.0.0:<SMCore Port/IIS port>
Ad esempio,
> $cert = “abc123abc123abc123abc123”
> $guid = [guid]::NewGuid().ToString("B")
> netsh http add sslcert ipport=0.0.0.0:8146 certhash=$cert appid="$guid"
clientcertnegotiation=enable verifyclientcertrevocation=disable
> $guid = [guid]::NewGuid().ToString("B")
> netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid"
clientcertnegotiation=enable verifyclientcertrevocation=disable
> netsh http show sslcert ipport=0.0.0.0:8146
> netsh http show sslcert ipport=0.0.0.0:8145
-
-
Per accedere all'autorizzazione al certificato CA, aggiungere l'utente predefinito del server Web IIS di SnapCenter "IIS AppPool/SnapCenter" nell'elenco delle autorizzazioni del certificato eseguendo la procedura seguente per accedere al certificato CA appena procurato.
-
Accedere alla console di gestione Microsoft (MMC), quindi fare clic su file > Aggiungi/Rimuovi SnapIn.
-
Nella finestra Aggiungi o Rimuovi snap-in, selezionare certificati, quindi fare clic su Aggiungi.
-
Nella finestra dello snap-in certificati, selezionare l'opzione account computer, quindi fare clic su fine.
-
Fare clic su Directory principale console > certificati – computer locale > personale > certificati.
-
Selezionare il certificato SnapCenter.
-
Per avviare l'aggiunta guidata autorizzazioni utente, fare clic con il pulsante destro del mouse sul certificato CA e selezionare tutte le attività > Gestisci chiavi private.
-
Fare clic su Add (Aggiungi), selezionare Users and groups wizard (Seleziona utenti e gruppi) per modificare la posizione in Local computer name (nome computer locale) (in cima alla gerarchia)
-
Aggiungere l'utente di IIS AppPool/SnapCenter, assegnare autorizzazioni di controllo complete.
-
-
Per l'autorizzazione IIS * del certificato CA, aggiungere la nuova voce delle chiavi di registro DWORD nel server SnapCenter dal seguente percorso:
Nell'editor del Registro di sistema di Windows, passare al percorso indicato di seguito,
HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProv ders\SCHANNEL
-
Creare una nuova voce della chiave del Registro di sistema DWORD nel contesto della configurazione DEL Registro DI sistema SCHANNEL.
SendTrustedIssuerList = 0
ClientAuthTrustMode = 2
Configurare il plug-in Windows di SnapCenter per la comunicazione SSL bidirezionale
È necessario configurare il plug-in Windows di SnapCenter per la comunicazione SSL bidirezionale utilizzando i comandi PowerShell.
Assicurarsi che il thumbprint del certificato CA sia disponibile.
-
Per collegare la porta, eseguire le seguenti operazioni sull'host plug-in di Windows per la porta SMCore 8145 (impostazione predefinita).
-
Rimuovere il binding della porta del certificato autofirmato SnapCenter esistente utilizzando il seguente comando PowerShell.
> netsh http delete sslcert ipport=0.0.0.0:<SMCore port>
Ad esempio,
> netsh http delete sslcert ipport=0.0.0.0:8145
-
Associare il certificato CA appena procurato alla porta SMCore.
> $cert = “<CA_certificate thumbprint>”
> $guid = [guid]::NewGuid().ToString("B")
> netsh http add sslcert ipport=0.0.0.0: <SMCore Port> certhash=$cert appid="$guid"
clientcertnegotiation=enable verifyclientcertrevocation=disable
> netsh http show sslcert ipport=0.0.0.0:<SMCore Port>
Ad esempio,
> $cert = “abc123abc123abc123abc123”
> $guid = [guid]::NewGuid().ToString("B")
> netsh http add sslcert ipport=0.0.0.0:8145 certhash=$cert appid="$guid"
clientcertnegotiation=enable verifyclientcertrevocation=disable
> netsh http show sslcert ipport=0.0.0.0:8145
-